Vlákno názorů k článku Trendy v internetové bezpečnosti: Většina českých bank není odolná proti ClickJackingu od banka a operátor - Ale pracoval jsem přímo na oddělení elektronického bankovnictví...
-
Článek je starý, nové názory již nelze přidávat.
- Podle hodnocení
- Podle vláken
- Nejnovější
-
banka a operátor (neregistrovaný)Ale pracoval jsem přímo na oddělení elektronického bankovnictví v centrále jedné z velkých bank a teď pracuji pro mobilního operátora...
No a nebudu zde popisovat jak, ale autorizaci SMS zprávami lze obejít velice jednoduše :-)
Ono vůbec elektronické bankovnictví není dost zabezpečené, nikdo o tom veřejně nemluví, ale v podstatě není zabezpečené prakticky vůbec - když někdo opravdu chce, dostane se do jakéhokoli účtu a převede kolik potřebuje.
Skutečnou ochranu tvoří jenom pojištění elektronických transakcí a detailní evidence - většinou není kam peníze převést, aby se na to nepřišlo a peníze do "daňových rájů" se pozdržují a ručně prověřují. -
anonymníA co brání počítači si tu sms přečíst? Čistě z prohlížeče asi ne, ale "aplikace" s trocohu štěstí může. Zvláště pokud se používají normální SMS a ne bankovní toolkit. A bude to ještě lepší než doteď, jak se stane micro USB normou pro nabíjení mobilů. Počkám si, až uživatel připojí mobil, přepnu do tichého režimu a pošlu si SMS a pak vyčtu a patřičně odešlu dál. V případě modrozubu a důvěrného párování je to další možnost.
-
anonymníNa vašem počítači, z kterého i sám obvykle provádíte operace s internetovým bankovnictvím (aby si zjistilo případně i heslo k certifikátu nebo pro přihlášení) a v době vaší neaktivity a dostupného darového spojení k mobilu zkrátka odešle klasicky požadavek do banky, vyzvedne si SMSku z mobilu a potvrdí, co potvrdit potřebuje, SMS smaže a odinstlauje se.
Tento koncept je výhodný i z toho důvodu, že z pohledu banky bude probíhat vše z počítače/místa odkud probíhají i vaše normální aktivity a žádné exotické destinace.
Ten micro/mini USB konektor bude funkční i pro data, takže pokud připojíte mobil s ním k počítači, tak se bude nabíjet také, což bude asi i dost lidí využívat a tím pádem dostupnost mobilu bez přítomnosti uživatele bude zase o něco pravděpodobnější. Další varianta je ten modrozub, ale to chce mít to důvěrné párování, aby to uživatele zbytečně neobtěžovalo.
Pokud mám mobil připojen k počítači, tak si z něj vyčíst SMSku je celkem bezproblémová záležitost, stejně jako odchycení interaktivního přihlášení i případného PINu k certifikátu (ani není překážkou, pokud je certifikát na čipové kartě, pokud teda nemá čtečka čipové karty samostatný keypad a nebo uživatel je paranoidní hňup, který pořád čipovku vyndává z čtečky a má ji tam jen po nezbytně nutnou dobu). -
:-) (neregistrovaný)Jak? No nechá si vystavit duplikát SIM karty! Jednoduché!
U dobíjecích karet k tomu stačí znám datum posledního dobití, nejčastěji volaná čísla, přibližný zůstatek kreditu atd. V podstatě co ví každý z okolí toho člověka, když trochu chce - dobíječky u nás má 60% obyvatel
No a 40% paušálů - přijdete na značkovku operátora, vytasíte falešnou občanku, kde si jen zaměstnanci ověří RČ a číslo OP a vystaví Vám duplikát SIM :-))
--
Mně na tom nic extra složitého nepřipadá. A navíc vystavením duplikátu SIM je ta původní nefunkční, takže kdo si myslí, že by mu v případě výběru z účtu přišla SMS - tak SMOLÍK PACHOLÍK, ta SMS přijde taky zloději :-)))
--
Ono je to není vinou operátorů, ale BANKY - zabezpečení GO karty určitě není navržené k tomu, aby chránilo miliony - že je banka schopná opřít zabezpečení účtu klienta o zabezpečení anonymní dobíjecí karty - to už je jiná věc :-)
Pak stačí nakráčet do O2, zahlásit např. PUK, poslední nabití, částku, datum, čas, kolik máte kredit a za 400Kč máte krásný duplikát SIMky asi za dvě minuty :-)))
Jsem jediný komu to přijde snadnější jak sebrat dítěti lízátko?
Když jsem byl u Vodafonu, tak tam po mně dokonce chtěli jen heslo do samoobsluhy a už jsem měl taky duplikát SIM...
Co chce při výměně SIM T-Mobile netuším, ale asi nějaký extra údaje to nebudou :-)))
--
Nejlepší zabezpečení je pomocí šifrovacích klíčů uložených v tokenu :-)
To je samozřejmě dražší a běžný uživatel BLB, by to nezvládl, takže se používá nulové zabezpečení přes SMS :-(( -
stoural (neregistrovaný)Jednoduche :) CHA CHA CHA :)
"U dobíjecích karet k tomu stačí znám datum posledního dobití, nejčastěji volaná čísla, přibližný zůstatek kreditu"
To zjistite jak?
"přijdete na značkovku operátora, vytasíte falešnou občanku"
Tu ziskate jak?
"A navíc vystavením duplikátu SIM je ta původní nefunkční"
Ano, v tom okamziku zakaznik vola na linku operatora.
"Mně na tom nic extra složitého nepřipadá."
Me teda ano. Narysovat teoreticky, jak by to slo, dokaze kazdy. Neni snadnejsi obraz nekoho, kdo si prave vybral penize z bankomatu?
"Pak stačí nakráčet do O2, zahlásit např. PUK, poslední nabití, částku, datum, čas, kolik máte kredit a za 400Kč máte krásný duplikát SIMky asi za dvě minuty :-)))"
Jak zjistite PUK? Jak zjistite posledni nabiti/datum/cas.
Proboha, predstavujete si to jako hurvinek VALKU. Ovladate telepatii? Zrejme ano.
ČLÁNKY DO MAILU